Le principali date da rispettare per conformarsi alla Direttiva NIS2 e agli obblighi ACN
Introduzione
Il recepimento della Direttiva NIS2 tramite il d.lgs. 138/2024 ha introdotto un percorso di adeguamento scandito da una serie di scadenze temporali definite dalla normativa e dalle determinazioni dell’Agenzia per la Cybersicurezza Nazionale (ACN).
Questa pagina fornisce una timeline chiara e completa degli obblighi NIS2 per i soggetti essenziali e importanti, utile per pianificare le attività interne e garantire la conformità.
Timeline operativa NIS2 – Scadenze principali
Le scadenze sono suddivise in tre aree:
A) obblighi ACN tramite piattaforma
B) obblighi di sicurezza e governance previsti dalla NIS2
C) obblighi di notifica e gestione incidenti.
A) Scadenze relative alla piattaforma ACN NIS
Secondo la Determina ACN n. 333017/2025:
- Registrazione annuale
Periodo: 1 gennaio – 28 febbraio di ogni anno
Attività:
- inserimento o conferma dei dati del soggetto NIS;
- indicazione dei ruoli obbligatori.
- Aggiornamento annuale
Periodo: 15 aprile – 31 maggio
Attività:
- aggiornamento delle informazioni tecniche e organizzative;
- verifica delle informazioni relative alla governance.
- Aggiornamento continuo
Finestra: fino al 14 aprile, con obbligo di segnalazione entro 14 giorni da ogni variazione rilevante.
- Designazione del Referente CSIRT
Periodo straordinario 2025: 20 novembre – 31 dicembre 2025
Attività:
- nomina del Referente CSIRT e degli eventuali sostituti tramite piattaforma ACN.
B) Scadenze NIS2 per obblighi di sicurezza (2025–2026)
- Entro gennaio 2026 – Capacità di notifica degli incidenti
I soggetti NIS devono essere in grado di effettuare preallarme, notifica e relazione finale verso il CSIRT Italia.
- Primo quadrimestre 2026 – Pubblicazione atti ACN sulle misure avanzate
ACN pubblicherà:
- modello di categorizzazione del rischio;
- obblighi strutturali a lungo termine;
- misure tecniche avanzate.
- Da giugno 2026 – Avvio dell’implementazione delle misure a lungo termine
I soggetti essenziali e importanti devono:
- avviare l’attuazione delle misure strutturali;
- aggiornare il proprio modello di governance.
- Entro ottobre 2026 – Completamento delle misure minime
Completamento delle misure di base previste dagli atti ACN e consolidamento del modello di sicurezza minimo.
C) Obblighi continuativi
Oltre alle scadenze principali, la NIS2 richiede attività permanenti, tra cui:
- monitoraggio e gestione del rischio;
- aggiornamento periodico delle procedure;
- formazione continua;
- revisione dei meccanismi di risposta agli incidenti;
- supervisione degli Organi Direttivi;
- tracciabilità delle attività di sicurezza.
Timeline sintetica
2025
- gennaio–febbraio: registrazione ACN
- aprile–maggio: aggiornamento annuale ACN
- fino al 14 aprile: aggiornamento continuo
- 20 novembre – 31 dicembre: designazione Referente CSIRT
2026
- gennaio: capacità di notifica incidenti
- marzo–aprile: atti ACN su misure avanzate
- giugno: inizio implementazione misure lunghe
- ottobre: completamento misure minime
Come prepararsi alle scadenze NIS2
Per rispettare la timeline è necessario pianificare:
- analisi del perimetro NIS2;
- definizione dei ruoli obbligatori;
- predisposizione delle procedure di gestione incidenti;
- adeguamento delle misure minime;
- formazione degli Organi Direttivi e del personale;
- predisposizione dei flussi sulla piattaforma ACN.
Supporto iSimply per la gestione della timeline
iSimply offre:
- monitoraggio delle scadenze;
- supporto operativo sulla piattaforma ACN;
- consulenza per misure minime e avanzate;
- assistenza nella gestione degli incidenti;
- formazione specifica per le figure coinvolte.
Vuoi pianificare correttamente il percorso di adeguamento NIS2 della tua organizzazione?
Richiedi un supporto operativo
Tel 0125 1899500